SSO即單點登錄���,是一種控制多個相關但彼此獨立的系統的訪問權限, 擁有這一權限的用戶可以使用單一的ID和密碼訪問某個或多個系統從而避免使用不同的用戶名或密碼���,或者通過某種配置無縫地登錄每個系統 ���。
對于大型系統來說使用單點登錄可以減少用戶很多的麻煩���。就拿百度來說吧���,百度下面有很多的子系統——百度經驗、百度知道���、百度文庫等等���,如果我們使用這些系統的時候,每一個系統都需要我們輸入用戶名和密碼登錄一次的話���,我相信用戶體驗肯定會直線下降���。
與 SSO 交互的2個元素:1. 用戶���,2. 系統���,它的特點是:一次登錄,全部訪問���。SSO 是訪問控制的一種���,控制用戶能否登錄���,即驗證用戶身份���,而且是所有其它系統的身份驗證都在它這里進行���,從整個系統層面來看 SSO ���,它的核心就是這3個元素了:1. 用戶,2. 系統���,3. 驗證中心。
1���、同一個域但不同的子域如何進行單點登錄假如我們的站點是按照下面的域名進行部署的:
sub1.onmpw.com
sub2.onmpw.com
這兩個站點共享同一域 onmpw.com ���。
默認情況下���,瀏覽器會發送 cookie 所屬的域對應的主機���。也就是說���,來自于 sub1.onmpw.com 的 cookie 默認所屬的域是 .sub1.onmpw.com ���。因此,sub2.onmpw.com 不會得到任何的屬于 sub1.onmpw.com 的 cookie 信息���。因為它們是在不同的主機上面���,并且二者的子域也是不同的���。
1.1 設置二者的 cookie 信息在同一個域下setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);
訪問 sub2.onmpw.com 系統���,瀏覽器會將 cookie 中的信息 token 附帶在請求中一塊兒發送到 sub2.onmpw.com 系統。這時該系統會先檢查 session 是否登錄���,如果沒有登錄則驗證 cookie 中的 token 從而實現自動登錄���。
sub2.onmpw.com 登錄成功以后再寫 session 信息。以后的驗證就用自己的 session 信息驗證就可以了���。
1.2 退出登錄這里存在一個問題就是 sub1 系統退出以后���,除了可以清除自身的 session 信息和所屬域為 .onmpw.com 的 cookie 的信息。它并不能清除 sub2 系統的 session 信息���。那 sub2 仍然是登錄狀態���。也就是說,這種方式雖說可以實現單點登錄���,但是不能實現同時退出���。原因是���,sub1 和 sub2 雖說通過 setcookie 函數的設置可以共享 cookie,但是二者的sessionId 是不同的���,而且這個 sessionId 在瀏覽器中也是以 cookie 的形式存儲的���,不過它所屬的域并不是 .onmpw.com ���。
那如何解決這個問題呢?我們知道���,對于這種情況���,只要是兩個系統的 sessionId 相同就可以解決這個問題了���。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com ���。在PHP中���,sessionId 是在 session_start() 調用以后生成的���。要想使sub1 和 sub2 有共同的 sessionId ���,那必須在 session_start() 之前設置 sessionId 所屬域:
ini_set('session.cookie_path', '/');ini_set('session.cookie_domain', '.onmpw.com');ini_set('session.cookie_lifetime', '0');1、經過上面的步驟就可以實現不同二級域名的單點登錄與退出���。
2、不過還可以再簡化���,如確保 sessionId 相同就可以實現不同二級域名的單點登錄與退出���。
參考文章: https://www.onmpw.com/tm/xwzj/network_145.html
2、不同域之間如何實現單點登錄假設我們需要在以下這些站之間實現單點登錄
www.onmpw1.com
www.onmpw2.com
www.onmpw3.com
上面的方案就行不通了���。
目前 github 上有開源的 SSO 解決方案���,實現原理與主流 SSO 差不多:
https://github.com/jasny/sso
wiki
demo
核心原理:
1、客戶端訪問不同的子系統���,子系統對應的 SSO 用戶服務中心使用相同的 SessionId。
2���、子系統 Broker 與 Server 間通過 attach 進行了授權鏈接綁定
同根域名不指定 domain 根域名,第一次授權需要每次都要跳轉到授權服務���,但是指定了domain, 同根域名只要有一個授權成功���,都可以共用那個 cookie 了,下次就不用再授權了���,直接就可以請求用戶信息了���。
第一次訪問A:
第二次訪問B:
2.1 登錄狀態判斷用戶到認證中心登錄后���,用戶和認證中心之間建立起了會話���,我們把這個會話稱為全局會話。當用戶后續訪問系統應用時���,我們不可能每次應用請求都到認證中心去判定是否登錄���,這樣效率非常低下���,這也是單Web應用不需要考慮的。
我們可以在系統應用和用戶瀏覽器之間建立起局部會話���,局部會話保持了客戶端與該系統應用的登錄狀態,局部會話依附于全局會話存在���,全局會話消失���,局部會話必須消失。
用戶訪問應用時���,首先判斷局部會話是否存在,如存在���,即認為是登錄狀態,無需再到認證中心去判斷���。如不存在���,就重定向到認證中心判斷全局會話是否存在���,如存在���,通知該應用,該應用與客戶端就建立起它們之間局部會話���,下次請求該應用���,就不去認證中心驗證了���。
2.2 退出用戶在一個系統退出了���,訪問其它子系統���,也應該是退出狀態���。要想做到這一點���,應用除結束本地局部會話外���,還應該通知認證中心該用戶退出���。
認證中心接到退出通知���,即可結束全局會話���,用戶訪問其它應用時,都顯示已登出狀態���。
需不需要立即通知所有已建立局部會話的子系統���,將它們的局部會話銷毀,可根據實際項目來���。
SSO( Single Sign On ),即單點登錄���,是一種控制多個相關但彼此獨立的系統的訪問權限, 擁有這一權限的用戶可以使用單一的ID和密碼訪問某個或多個系統從而避免使用不同的用戶名或密碼���,或者通過某種配置無縫地登錄每個系統 ���。
對于大型系統來說使用單點登錄可以減少用戶很多的麻煩���。就拿百度來說吧���,百度下面有很多的子系統——百度經驗���、百度知道���、百度文庫等等,如果我們使用這些系統的時候���,每一個系統都需要我們輸入用戶名和密碼登錄一次的話,我相信用戶體驗肯定會直線下降���。
與 SSO 交互的2個元素:1. 用戶���,2. 系統,它的特點是:一次登錄���,全部訪問。SSO 是訪問控制的一種���,控制用戶能否登錄,即驗證用戶身份���,而且是所有其它系統的身份驗證都在它這里進行���,從整個系統層面來看 SSO ���,它的核心就是這3個元素了:1. 用戶���,2. 系統,3. 驗證中心���。
1���、同一個域但不同的子域如何進行單點登錄假如我們的站點是按照下面的域名進行部署的:
sub1.onmpw.com
sub2.onmpw.com
這兩個站點共享同一域 onmpw.com 。
默認情況下���,瀏覽器會發送 cookie 所屬的域對應的主機。也就是說���,來自于 sub1.onmpw.com 的 cookie 默認所屬的域是 .sub1.onmpw.com ���。因此���,sub2.onmpw.com 不會得到任何的屬于 sub1.onmpw.com 的 cookie 信息���。因為它們是在不同的主機上面���,并且二者的子域也是不同的���。
1.1 設置二者的 cookie 信息在同一個域下setcookie(‘token’, ’xxx’, '/', ’.onmpw.com’);
訪問 sub2.onmpw.com 系統���,瀏覽器會將 cookie 中的信息 token 附帶在請求中一塊兒發送到 sub2.onmpw.com 系統。這時該系統會先檢查 session 是否登錄���,如果沒有登錄則驗證 cookie 中的 token 從而實現自動登錄。
sub2.onmpw.com 登錄成功以后再寫 session 信息���。以后的驗證就用自己的 session 信息驗證就可以了���。
1.2 退出登錄這里存在一個問題就是 sub1 系統退出以后���,除了可以清除自身的 session 信息和所屬域為 .onmpw.com 的 cookie 的信息���。它并不能清除 sub2 系統的 session 信息���。那 sub2 仍然是登錄狀態。也就是說���,這種方式雖說可以實現單點登錄,但是不能實現同時退出���。原因是���,sub1 和 sub2 雖說通過 setcookie 函數的設置可以共享 cookie,但是二者的sessionId 是不同的���,而且這個 sessionId 在瀏覽器中也是以 cookie 的形式存儲的,不過它所屬的域并不是 .onmpw.com ���。
那如何解決這個問題呢���?我們知道���,對于這種情況,只要是兩個系統的 sessionId 相同就可以解決這個問題了���。也就是說存放 sessionId 的 cookie 所屬的域也是 .onmpw.com ���。在PHP中,sessionId 是在 session_start() 調用以后生成的���。要想使sub1 和 sub2 有共同的 sessionId ,那必須在 session_start() 之前設置 sessionId 所屬域:
ini_set('session.cookie_path', '/');ini_set('session.cookie_domain', '.onmpw.com');ini_set('session.cookie_lifetime', '0');1���、經過上面的步驟就可以實現不同二級域名的單點登錄與退出。
2���、不過還可以再簡化���,如確保 sessionId 相同就可以實現不同二級域名的單點登錄與退出。
參考文章: https://www.onmpw.com/tm/xwzj/network_145.html
2���、不同域之間如何實現單點登錄假設我們需要在以下這些站之間實現單點登錄
www.onmpw1.com
www.onmpw2.com
www.onmpw3.com
上面的方案就行不通了���。
目前 github 上有開源的 SSO 解決方案���,實現原理與主流 SSO 差不多:
https://github.com/jasny/sso
wiki
demo
核心原理:
1���、客戶端訪問不同的子系統���,子系統對應的 SSO 用戶服務中心使用相同的 SessionId。
2���、子系統 Broker 與 Server 間通過 attach 進行了授權鏈接綁定
同根域名不指定 domain 根域名���,第一次授權需要每次都要跳轉到授權服務���,但是指定了domain, 同根域名只要有一個授權成功���,都可以共用那個 cookie 了���,下次就不用再授權了,直接就可以請求用戶信息了���。
第一次訪問A:
第二次訪問B:
2.1 登錄狀態判斷用戶到認證中心登錄后,用戶和認證中心之間建立起了會話���,我們把這個會話稱為全局會話���。當用戶后續訪問系統應用時���,我們不可能每次應用請求都到認證中心去判定是否登錄,這樣效率非常低下���,這也是單Web應用不需要考慮的���。
我們可以在系統應用和用戶瀏覽器之間建立起局部會話,局部會話保持了客戶端與該系統應用的登錄狀態���,局部會話依附于全局會話存在���,全局會話消失���,局部會話必須消失���。
用戶訪問應用時,首先判斷局部會話是否存在���,如存在���,即認為是登錄狀態���,無需再到認證中心去判斷。如不存在���,就重定向到認證中心判斷全局會話是否存在���,如存在,通知該應用���,該應用與客戶端就建立起它們之間局部會話���,下次請求該應用���,就不去認證中心驗證了���。
2.2 退出用戶在一個系統退出了���,訪問其它子系統���,也應該是退出狀態。要想做到這一點���,應用除結束本地局部會話外,還應該通知認證中心該用戶退出���。
認證中心接到退出通知���,即可結束全局會話���,用戶訪問其它應用時���,都顯示已登出狀態。
需不需要立即通知所有已建立局部會話的子系統���,將它們的局部會話銷毀,可根據實際項目來���。
相關推薦:
實例講解SSO單點登錄原理
單點登錄原理和簡單實現
php實現的SSO單點登錄系統接入功能示例分析
以上就是PHP單點登錄SSO實現方法的詳細內容���,更多請關注 其它相關文章���!
鄭重聲明:本文版權歸原作者所有���,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤���,請第一時間聯系我們修改或刪除���,多謝。
